💎 منظور از SOAR و UEBA در NG-SIEMها چیست؟

بطور کلی با رشد تکنولوژی SIEMها نیز به عنوان قلب تپنده SOCها رشد کرده اند و امروز شاهد نسلی جدید از آنها تحت عنوان Next-Generation SIEMها یا به اختصار NG-SIEMها هستیم که با عنوان Modern SIEMها نیز شناخته می شوند.

مهمتریم ویژگی هایی که یک Modern SIEM می بایست دارای آنها باشد، عبارتند از:
1️⃣ Collect and manage data from all available sources
2️⃣ Well-vetted, big data architecture
3️⃣ Flat pricing for log ingestion
4️⃣ Enrichment of user and asset context
5️⃣ User and Entity Behavior Analysis (UEBA) ✅
6️⃣ Automated tracking of lateral movement
7️⃣ Improved security information model
8️⃣ Prebuilt incident timelines
9️⃣ Incident prioritization
🔟 Security orchestration and automation response (SOAR) ✅


در این بین به دو ویژگی UEBA و SOAR در NG-SIEMها می پردازیم:

♻️ قابلیت UEBA یا آنالیز رفتاری رویداد کاربر

در واقع یک Modern SIEM رفتارهای پایه ای را از طریق مکانیزم های Machine Learning (یادگیری ماشین)، Statistical Analysis (آنایز آماری) و Behavioral Modeling (مدلسازی رفتاری) که به UEBA اشاره می کند، انجام می دهد. UEBA به رفتار نرمال دسترسی دارد و می تواند risk scoreهایی را به فعالیت ها و رفتارهای غیر نرمال در یک بازه زمانی خاص assign کند. برای مثال، اگر شما کاربری دارید که معمولاً logهای مربوط به آن را از آمریکا دریافت می کنید و حالا logهای آن را از طریق چین برای اولین بار می آیند، چنین anomalyی ممکن است نشان ای از حمله ای که در حال اجراست باشد.
بطور کلی ‌SIEMهای پیشرفته با استفاده‌ حداکثری از هوش مصنوعی یا AI و تکنیک‌های پیچیده‌ یادگیری برای بررسی الگوی رفتاری انسان‌ها، از قوانین و ارتباط‌ها فراتر می‌ روند. این قابلیت به شناسایی تهدیدهای داخلی، حمله‌های هدف‌دار و کلاهبرداری‌ها کمک می‌کند.

♻️ قابلیت SOAR یا هماهنگ‌سازی و خودکارسازیِ امنیت

در واقع NG-SIEMها با سیستم‌های سازمانی و پاسخگویی خودکار به حوادث ادغام می‌شوند. مثلاً ممکن است SIEM هشداری برای باج‌افزار دریافت کند و قبل از این که مهاجم‌ها بتوانند داده‌ها را رمزگذاری کنند، به ‌صورت اتوماتیک اقدامات مهارسازی را روی سیستم‌های آلوده اجرایی نمایند. بنابراین SOCهای پیشرفته می‌توانند با هماهنگ‌سازی سیستم‌های امنیتی، که به عنوان SOAR‌ شناخته می‌شود، به‌ صورت خودکار به حوادث واکنش نشان دهند.

بطور کلی کاربرد دو واژه Orchestration و Automation در SEIM Vendorها با هم متفاوت هستند که در اصطلاح SOAR نیز آورده شده اند.
⭕️ منظور از Orchestration:
📌 پیاده سازی Connectorهای از پیش ساخته شده در زیرساخت امنیتی و IT سازمان شما بدون اینکه خودتان آنها را script کنید، است.
📌 همچنین pull/push کردن اطلاعات به/از سیستم مدیریتی دسترسی شما، فایروال ها، ایمیل سرورها، کنترلرهای دسترسی به شبکه و دیگر ابزارهای مدیریتی است.

⭕️منظور از Automation:
📌استفاده از response playbookها جهت کدگذاری بهترین روش پاسخگویی به انواع تهدیدات مشخص است.
📌 فراهم کردن workflow automationها بر بالای ساختار Orchestration شماست.
📌 فعالسازی قابلیت threat response automation ضمن کاهش خستگی پرسنل
📌 توانایی کنترل تمامی ابزارهای شما از یک مکان (از یک نقطه)

🌐 جهت تمایل به کسب اطلاعات بیشتر مطالعه مستند Definitive Guide to SOAR، نوشته Crystal Bedell، منتشر شده توسط CyberEdge Group, LLC. و LogRhythm را پیشنهاد می کنم.
https://www.intelligentcio.com/me/wp-content/uploads/sites/12/2019/01/definitive-guide-to-soar.pdf

🌐 همچنین جهت آشنایی بیشتر با قابلیت UEBA نیز مستندات مربوط به Splunk و LogRhythm را مطالعه فرمایید:
https://www.splunk.com/pdfs/technical-briefs/using-splunk-user-behavior-analytics.pdf

https://www.splunk.com/pdfs/product-briefs/splunk-uba.pdf

https://www.splunk.com/pdfs/technical-briefs/using-splunk-uba-to-detect-insider-threats.pdf

https://logrhythm.com/pdfs/datasheets/logrhythm-ueba-product-overview.pdf

🌀 میثم ناظمی
@iranopensource🐧

یک بار از توماس ادیسون سوال شد پس از بیست و پنج هزار بار کوشش بی نتیجه برای ساختن باتری، نسبت به شکست چه احساسی دارد.
پاسخ او برای همه ی ما دارای اهمیت است:
"شکست؟ من ابدا شکست نخورده ام، حالا بیست و پنج هزار طریقه را میشناسم که نمی توان باتری ساخت!

کتاب زنده باد خودم
نوشته وین دایر

@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
#Defensive_Security_Handbook
@iranopensource🐧

Defensive Security Handbook Best Practices for Securing Infrastructure By Lee Brotherston, Amanda Berlin #Defensive #Security #DefensiveSecurity
—---------—
Despite the increase of high-profile hacks, record-breaking data leaks, and ransomware attacks, many organizations don’t have the budget to establish or outsource an information security (InfoSec) program, forcing them to learn on the job. For companies obliged to improvise, this pragmatic guide provides a security-101 handbook with steps, tools, processes, and ideas to help you drive maximum-security improvement at little or no cost.
Each chapter in this book provides step-by-step instructions for dealing with a specific issue, including breaches and disasters, compliance, network infrastructure and password management, vulnerability scanning, and penetration testing, among others. Network engineers, system administrators, and security professionals will learn tools and techniques to help improve security in sensible, manageable chunks.
Learn fundamentals of starting or redesigning an InfoSec program
Create a base set of policies, standards, and procedures
Plan and design incident response, disaster recovery, compliance, and physical security
Bolster Microsoft and Unix systems, network infrastructure, and password management
Use segmentation practices and designs to compartmentalize your network
Explore automated process and tools for vulnerability management
Securely develop code to reduce exploitable errors
Understand basic penetration testing concepts through purple teaming
Delve into IDS, IPS, SOC, logging, and monitoring
—------------------——————————————————-
2017 | PDF | 284 páginas | 29,2 MB
—--------------------——————————————————

@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
#Securing_the_Perimeter
@iranopensource🐧

Securing the Perimeter: Deploying Identity and Access Management with Free Open Source Software by Michael Schwartz & Maciej Machulak #Securing #Perimeter #AccessManagement #IAM
------------------------
Leverage existing free open source software to build an identity and access management (IAM) platform that can serve your organization for the long term. With the emergence of open standards and open source software, it’s now easier than ever to build and operate your own IAM stack.
The most common culprit of the largest hacks has been bad personal identification. In terms of bang for your buck, effective access control is the best investment you can make. Financially, it’s more valuable to prevent than to detect a security breach. That’s why Identity and Access Management (IAM) is a critical component of an organization’s security infrastructure. In the past, IAM software has been available only from large enterprise software vendors. Commercial IAM offerings are bundled as “suites” because IAM is not just one component. It’s a number of components working together, including web, authentication, authorization, cryptographic, and persistence services.
Securing the Perimeter documents a recipe to take advantage of open standards to build an enterprise-class IAM service using free open source software. This recipe can be adapted to meet the needs of both small and large organizations. While not a comprehensive guide for every application, this book provides the key concepts and patterns to help administrators and developers leverage a central security infrastructure.
Cloud IAM service providers would have you believe that managing an IAM is too hard. Anything unfamiliar is hard, but with the right road map, it can be mastered. You may find SaaS identity solutions too rigid or too expensive. Or perhaps you don’t like the idea of a third party holding the credentials of your users—the keys to your kingdom. Open source IAM provides an alternative. Take control of your IAM infrastructure if digital services are key to your organization’s success.
What You’ll Learn
Understand why you should deploy a centralized authentication and policy management infrastructure
Use the SAML or Open ID Standards for web or single sign-on, and OAuth for API Access Management
Synchronize data from existing identity repositories such as Active Directory
Deploy two-factor authentication services
Who This Book Is For
Security architects (CISO, CSO), system engineers/administrators, and software developers
------------------------————————————
2018 | PDF | 383 pages | 10.6 MB
-----------------------------——————————-

@iranopensource🐧

💎 چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد؟

#Cisco_ASA #FirePOWER #FortiGate #Junuper_SRX
@iranopensource🐧

💎 چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد؟ (بخش اول)

در پاسخ به این سوال یکسری حقایق + نظرات و تجربیات شخصی خودم را در ادامه بیان می کنم:

1️⃣ در گزارشات گارتنر اگر دقیت کنید، مثلاً در تصویر فوق که مربوط به گزارش مقایسه NGFWها در سال 2018 هست، شما علاوه بر NGFWهای معروفی همچون Cisco ASA و Palo Alto و Check Point VRX و Juniper SRX و... یکسری از UTMها را نیز از جمله Fortinet (با محصول FortiGateش)، Sophos XG و Sonicwall و... رو هم مشاهده می کنید.

به نظر من این یک دسته بندی اشتباه هست که توسط موسسه گارتنر انجام همیشه انجام می شود، یعنی وقتی گزارش برترین UTMها را می دهد NGFWها هم در آن هستند و برعکس وقتی گزارش NGFWها را ارائه می کند UTMها هم در آن هستند که این درست نیست چون می دانیم UTMها عمدتاً feature listهای بیشتری دارند و کاربردهای متنوع تری هم می توانند به نسبت NGFWها داشته باشند.
از طرفی در رقابتی که بین این vendorها وجود دارد تا حدودی این مرزبندی و تعریف بین NGFWها و UTMها از بین رفته، یعنی فرضاً ما DLP را به عنوان یکی از featureهای UTMها می شناسیم ولی Palo Alto و Checkpoint با اینکه جز NGFWها هستند این feature را دارند ولی Cisco ASA و Juniper SRX که جز NGFWها هستند این feature را ندارند.

2️⃣ موضوع دیگر اینکه Cisco با معرفی FirePOWER و ویژگی های که به واسطه آن با فایروال خودش یعنی ASA یکپارچه کرد از جمله NGIPS و AMP و AVC و... توانست یک جهش بزرگ در محصول NGFW خود بوجود آورد و فاصله خودش را از Palo Alto و Checkpoint که همیشه رتبه اول و دوم را در گزارشات گارانتر به خود اختصاص می دادند کم کرده و از بخش Challengerها به لیست صدر نشین ها یعتی Leaderها حوزه NGFW بپیوندد و فاصله اش را نیز از Juniper بیشتر کند. ولی Juniper الان سالهاست که بعد از معرفی SRX خودش دیگر قابلیت امنیتی آنچنانی ای و چشمگیری را به این محصول اضافه نکرده و تا حدی که این محصول در شرایط قبلی خود freeze شده و پیشرفت چشمگیری در سال های اخیر حداقل در آن مشاهده نمی شود.

3️⃣ از جنبه دیگر اگر بخوایم نگاه کنیم،Cisco ASA به واسطه Firepower Management Center ش می تواند با محصولات دیگر از جمله ابزارهای third-party و همینطور راهکارهای مدرن دیتاسنتری خود شرکت Cisco مثل Stealthwatch و ESA و WSA و Tetration و ISE و ACS و WCS و... کاملاً یکپارچه شده و یک شبکه Collaboration قدرتمند دیتاسنتری را راه اندازی کنیم در صورتیکه Juniper SRX از این قضیه بی بهره است.

4️⃣ شاید جنبه دیگر این باشد که پشت محصول ASA شرکت Cisco و همینطور سایر Security-boxهای آن لابراتواری قوی به اسم Talos هست یا Fortinet لابراتور پیشرفته FortiGaurd را برای محصولاتش دارد ولی پشت محصول SRX چنین لابراتوار قدرتمندی وجود ندارد که بتواند تهدیدات امنیتی (به خصوص Zero-day Attackها را به سمت آن فرستاد و آنجا تجزیه و تحلیل شوند و برایشان signature ایجاد و update جدید ارائه شود).

5️⃣ یکی دیگر از جنبه های مقایسه محصولات NGFW و UTM از نظر گارتنر کسب Certificateهای امنیتی محصولات یا featureهای آنها توسط موسسات و نهادهای امنیتی بین اللملی و معروف است. برای مثال شما قابلیت IPS را در محصول ASA در نظر بگیرید که به آن اصطلاحاً NGIPS می گوییم، که در واقع همان سرویس Snort است در مقابل IPS ی که Fortinet برای محصول FortiGate خودش نوشته موفق شده Certificateهای امنیتی را از موسسات معروفی مثل NSS و ICSA و EAL4+ کسب کند در صورتیکه Snort چه آن موقع که محصول شرکت SourceFire بود چه الان که SourceFire را Cisco خریده و مالک آم شده هنوز موفق به کسب چنین Certificateهایی نشده است.


🌀 میثم ناظمی
@iranopensource🐧

💎 چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد؟ (بخش دوم)

6️⃣ از دیدگاه سخت افزاری هم Cisco ASA و Juniper SRX از همان معماری سخت افزاری مرسوم قدیمی استفاده می کنند، یعنی یک CPU وجود دارد که تماس processهای تجهیزات و ماژول های آنها را برعهده دارد که این خودش می تواند در performance و throughput دستگاه تأثیر بگذارد، در صورتیکه FortiGate از چندین ASIC تخصصی و سخت افزاری برای process خودش به جز CPUی که دارد استفاده می کند.

7️⃣ اما مقایسه های موسسه ای مثل گارتنز مسلماً فقط بررسی feature listهای محصولات یا Stress Testها نیست، بلکه هزینه های خرید تجهیزات، لایسنس و حتی ماژول ها را هم شامل می شود. مثلا در Legacy ASAها اینطور بود که شما فایروال را می خریدید و اگر نیاز به IPS داشتید، باید ماژول IPS را هم جدا تهیه می کردید و مسلماً شامل هزینه میشد و اینکه بعد باید لایسنس مربوط به آن را نیز تهیه می کردید، ولی بعد از اینکه شرکت Cisco محصولات سری ASA-X را معرفی کرد، ماژول IPS هم روی ASA به صورت default قرار داده شده و شما وقتی تجهیز را خریداری کنید می بایست هزینه ماژول NGIPS آن را هم بپردازید (در صورتیکه شاید تهیه IPS از شرکت Cisco برای زیرساختتان مد نظر شما نباشد و بدین طریق هزینه اضافه هم به شما تحمیل می شود) همینطور ماژول های AIP-SSM و Anti-Virus Protection، ولی Fortinet از همان ابتدا این کار را نکرد و تمام ماژول های امنیتی خودش را به صورت یکپارچه بر روی FortiGate ارائه داد و صرفاً برای هر کدام از آنها لایسنس معرفی کرد که این باعث می شود در کل TCO شما پایین بیاد.

8️⃣ موضوع بعدی بروزرسانی Signatureهای محصولات از دیدگاه گارتنر است، برای مثال در Cisco ASA شما اگر بخواهید Signatureهای مربوط به IPSش (یا حتی NGIPSش) را آپدیت کنید باید به صورت دستی آنها را دانلود کرده و بعد به Signature Database تان فایلش را ارسال کنید، در صورتیکه FortiGate قابلیت dynamic real-time push updatesها از شبکه FortiGuard دارد که به این طریق می تواند از حملات Zero-day هم جلوگیری کند.

9️⃣ محصول Cisco ASA در ساختار Cisco Cloud و Cisco SDDC می تواند به خوبی با محصولات Cisco ACI/DNA و Cisco Meraki یکپارچه شود و شما می توانید بسیاری از قابلیت های NGFW خودتان را توسط APIC و RESTful APIها Orchestrate و Automate نمایید، هر چند می توانید از محصولات FortiGate و Juniper SRX هم در زیرساخت SDDC و Cloud استفاده کنید ولی قابلیت یکپارچگی در محصول Cisco ACI/DNA را به خوبی ASA-Xها ندارند. (توجه داشته باشید Legacy ASAها فاقد پشتیبانی از RESTful APIها هستند).

🔟 ماژول AV و engine آن در Cisco ASA چون از شرکت TrendMicro گرفته شده و توسط این شرکت license شده، به همین خاطر شرکت Cisco بر روی آن کنترل کمی دارد به خصوص در مواقعیکه signatureهای AV را بخواهید update کنید، در عوض در شرکت Fortinet یک تیم تخصصی از کارکنان خود شرکت Fortinet به اسم "تیم مهندسین تحقیق و توسعه آنتی ویروس" وجود دارد که به صورت تخصصی threatهای جدید را بررسی می کنند و آپدیت های جدید را هم به صورت signature ارائه می دهند و چون این تیم آپدیت های جدید را روی سرورهای FortiGuard می فرستد و این سرورها نیز در سراسر دنیا تقریباً وجود دارند و با هم sync شده اند، شما در کمتر از 5 دقیقه می توانید همه تجهیزات FortiGate در سازمانتان را آپدیت کنید.

🌀 میثم ناظمی
@iranopensource🐧

💎 چرا محصول Juniper در گزارشات سال های اخیر گارتنر به نسبت Cisco ASA و FortiGate جایگاه مناسبی ندارد؟ (بخش پایانی)


1️⃣1️⃣ بحث محدودیت در VPNها بر روی Cisco ASA وجود دارد، به این صورت که وقتی شما بخواهید IPSec VPN را به صورت Site-to-Site بر روی ASA پیکربندی کنید، اگر ASA تان را در مد transparent پیکربندی کرده باشید یا Virtual Firewall Context بر روی آن داشته باشید، IPSec STS شما termination نمی شود به همین دلیل در محیط های MSSP سرویس های VPN از ASA زیاد پیشنهاد نمی شود ولی در عوض در FortiGate شما می توانید IPSec VPNها در VDOMها و حتی زمانیکه FG خودتان را در مد transparent پیکربندی کرده اید هم terminate کنید.

2️⃣1️⃣ در بحث Multicast هم ASA نمی تواند ترافیک multicast را زمانیکه شما VDC بر روی آن کانفیگ کرده باشید، forward کند در صورتیکه FortiGate می تواند ترافیک multicast را forward کرده و حتی ترافیک multicast را از root virtual domain شما به سایر virtual domainهایتان NAT کند.

3️⃣1️⃣ در بحث Routing هم وقتی شما ASA را در حالت transparent پیکربندی کنید، ASA نمی تواند dynamic routing (منظورم پروتکل های OSPF و RIP هست – هر چند پروتکل RIP را در محیط های production استفاد نمی کنیم) را ساپورت کند، در صورتیکه FortiGate می تواند dynamic routing را حتی در زمانیکه بر روی آن VDC پیکربندی کرده اید و در حالت transparent می باشد نیز ساپورت کند.

4️⃣1️⃣ تجهیز Cisco ASA ماژول Antispam protection که برای متوقف کردن blended threatها لازم است را ندارد، در صورتیکه FortiGate با Antispam protectionی یکپارچه شده که می تواند FortiGuard Antispam Shield Serviceها را نیز دریافت کند.

💎 نتیجه گیری:
تمامی مواردیکه در بالا اشاره شد و بسیاری از موارد دیگری که از حوصله این مقاله خارج است اما به عنوان مشخصه های تفاوت بین محصولات مختلف به ویژه Cisco ASA و Fortinet FortiGate و Juniper SRX می توان در نظر داشت. مشخصاً این موارد شامل حقایق و بخشی از تجربیاتی شخصی بنده در کار کردن با این محوصلات در پروژه های مختلف بوده می باشد و هدف از این مقاله صرفاً پرداختن به این تفاوت ها بوده و قصد bold کردن یک محصول وجود نداشته است.

🌀 میثم ناظمی

@iranopensource🐧